عملاء الذكاء الاصطناعي يخرجون عن السيطرة: مايكروسوفت وسيلزفورس تتسابقان لسدّ تسريبات البيانات

العنوان الفرعي: تكشف ثغرات حقن الأوامر الحديثة في منصات ذكاء اصطناعي كبرى أن معركة تأمين الذكاء الاصطناعي لم تُحسم بعد.

بينما يتسابق العالم لأتمتة كل شيء، من رسائل البريد الإلكتروني إلى سير العمل المؤسسي، تكمن ثغرة خطيرة تحت سطح ثورة الذكاء الاصطناعي. هذا الأسبوع، كشف باحثون في الأمن السيبراني كيف تركت حتى عمالقة التقنية مثل مايكروسوفت وسيلزفورس فجوات واسعة في وكلائها المدعومين بالذكاء الاصطناعي - ثغرات قد تتيح للمهاجمين سحب بيانات أعمال حساسة بحيل بسيطة على نحو صادم. وردّ الصناعة؟ تصحيح هنا، وتعديل إعدادات هناك - وشعور متزايد بأن مشكلات أمن الذكاء الاصطناعي لم تبدأ إلا للتو.

حقائق سريعة

كشفت Capsule Security عن ثغرات حقن الأوامر في Microsoft Copilot وSalesforce Agentforce.
كان بإمكان المهاجمين سرقة بيانات حساسة عبر تضمين أوامر خبيثة في نماذج عامة موجّهة للجمهور.
قامت كل من مايكروسوفت وسيلزفورس منذ ذلك الحين بإصلاح الثغرات، لكن المخاطر الكامنة لا تزال قائمة.
توصي سيلزفورس بإشراف “الإنسان ضمن الحلقة” (HITL)، لكن منتقدين يقولون إن ذلك يقوّض وعد الأتمتة الذي يقدمه الذكاء الاصطناعي.
لا يزال حقن الأوامر مشكلة غير محلولة - ومتفاقمة - بالنسبة للنماذج اللغوية الكبيرة.

تشريح سرقة صامتة

تسلّط نتائج Capsule Security، التي أُعلن عنها هذا الأسبوع، ضوءًا قاسيًا على نقاط الضعف المعمارية التي تعصف بالذكاء الاصطناعي المؤسسي. ففي حالة سيلزفورس، أتاحت ثغرة “PipeLeak” للمهاجمين زرع تعليمات خبيثة بسيطة داخل نماذج العملاء المحتملين عبر الإنترنت - وهي نماذج مخصصة للعملاء المحتملين، لكنها مفتوحة لأي شخص. وبدلًا من التعامل مع مدخلات المستخدم على أنها غير موثوقة، تعاملت Agentforce معها كأمر موثوق. وكانت النتيجة: أمر واحد متخفٍ يمكنه خداع الذكاء الاصطناعي لإرسال قائمة كاملة بعملاء المبيعات المحتملين إلى المهاجم عبر البريد الإلكتروني.

ولم تكن ثغرة مايكروسوفت “ShareLeak” (CVE-2026-21520) أقل إثارة للقلق. فمن خلال حقن أوامر مُصاغة داخل نموذج SharePoint، كان بإمكان القراصنة توجيه Copilot لسحب بيانات سرية وإرسالها إلى بريد إلكتروني خارجي - متجاوزين حتى فحوصات الأمان المدمجة. ولم يتطلب الاستغلال سوى فهم أساسي لكيفية معالجة النماذج اللغوية الكبيرة للتعليمات، لا سحرًا تقنيًا عميقًا.

استجابة الصناعة: قليل جدًا، متأخر جدًا؟

تحركت الشركتان بسرعة لإصلاح الثغرات المكشوفة، لكن ردودهما تثير أسئلة صعبة. فسيلزفورس، على سبيل المثال، قللت من شأن الخطر واعتبرته “مشكلة خاصة بالإعدادات”، وأشارت إلى إعدادات الإنسان ضمن الحلقة (HITL) كوسيلة حماية. ووصف الرئيس التنفيذي لـCapsule، ناؤور باز، ذلك بأنه “محرج”، مجادلًا بأن الهدف من وكلاء الذكاء الاصطناعي هو العمل باستقلالية - لا أن يتطلبوا مراقبة بشرية مستمرة.

ويحذر خبراء الأمن من أنه كلما اندمج وكلاء الذكاء الاصطناعي بعمق أكبر في عمليات الأعمال، تضاعفت المخاطر. فالثلاثية القاتلة - وكلاء ذكاء اصطناعي لديهم وصول إلى بيانات حساسة، ومكشوفون للعالم الخارجي، وقادرون على التواصل خارجيًا - تخلق عاصفة مثالية لاختراقات البيانات. وعلى عكس عيوب البرمجيات التقليدية، تستغل هجمات حقن الأوامر طبيعة كيفية تفسير النماذج اللغوية الكبيرة للتعليمات، ما يجعل إصلاحها بالغ الصعوبة.

نظرة إلى الأمام

اندفاع الذهب في الذكاء الاصطناعي مستمر، وكذلك سباق التسلح بين المهاجمين والمدافعين. وكما توضح أبحاث Capsule، فإن حقن الأوامر لن يختفي - ولا تزال أفضل العقول في الصناعة تبحث عن حلول دائمة. وحتى ذلك الحين، يجب على المؤسسات التي تنشر وكلاء ذكاء اصطناعي أن تتعامل مع كل مدخلات المستخدم بريبة، وأن تطالب بأكثر من تصحيحات سريعة من مورديها. فقد يكون تسريب البيانات التالي على بُعد أمر واحد ذكي فحسب.

WIKICROOK

حقن الأوامر: حقن الأوامر هو عندما يزوّد المهاجمون الذكاء الاصطناعي بمدخلات ضارة، ما يدفعه للتصرف بطرق غير مقصودة أو خطرة، وغالبًا مع تجاوز وسائل الحماية المعتادة.
النموذج اللغوي الكبير (LLM): النموذج اللغوي الكبير (LLM) هو ذكاء اصطناعي مُدرَّب على فهم النصوص وتوليدها بأسلوب يشبه البشر، ويُستخدم غالبًا في روبوتات الدردشة والمساعدين وأدوات المحتوى.
الإنسان: الإنسان هو فرد يتفاعل مع الأنظمة الرقمية، وغالبًا ما يوفّر الإشراف والتحقق واتخاذ القرار في عمليات الأمن السيبراني مثل HITL.
تهريب البيانات: تهريب البيانات هو النقل غير المصرح به لبيانات حساسة من نظام الضحية إلى سيطرة المهاجم، وغالبًا لأغراض خبيثة.
CVSS (نظام تسجيل الثغرات الشائعة): CVSS هو نظام معياري لتقييم شدة الثغرات الأمنية، ويمنح درجات من 0 (منخفض) إلى 10 (حرِج) لتوجيه أولويات الاستجابة.